系統(tǒng)惡意代碼技術(shù)分析

1、系統(tǒng)惡意代碼技術(shù)分析知識(shí)域：惡意代碼知識(shí)子域：惡意代碼的產(chǎn)生與發(fā)展了解惡意代碼的發(fā)展歷史及趨勢了解惡意代碼的類型理解惡意代碼的傳播方式2什么是惡意代碼沒有有效作用、干擾或破壞計(jì)算機(jī)系統(tǒng)/網(wǎng)絡(luò)功能的程序或代碼（一組指令）指令類型二進(jìn)制代碼腳本語言宏語言表現(xiàn)形式病毒、蠕蟲、后門程序、木馬、流氓軟件、邏輯炸彈等3惡意代碼的危害4網(wǎng)絡(luò)擁塞蠕蟲傳播或爆發(fā)占用大量網(wǎng)絡(luò)資源，導(dǎo)致網(wǎng)絡(luò)癱瘓系統(tǒng)控制形成危害嚴(yán)重的僵尸網(wǎng)絡(luò)，被作者用來發(fā)動(dòng)任何攻擊信息泄露監(jiān)視用戶操作，竊取個(gè)人隱私破壞系統(tǒng)及數(shù)據(jù)它已經(jīng)成為網(wǎng)絡(luò)犯罪的主要工具，也是國家、組織之間網(wǎng)絡(luò)戰(zhàn)的主要武器惡意代碼發(fā)展孕育和誕生1949：馮諾依曼在復(fù)雜自動(dòng)機(jī)組織論

2、提出概念1960：生命游戲（約翰康維 ） 磁芯大戰(zhàn)（貝爾實(shí)驗(yàn)室三名程序員 ）1977年科幻小說P-1的青春使得惡意程序有了計(jì)算機(jī)病毒的名稱1983：真正的惡意代碼在實(shí)驗(yàn)室產(chǎn)生5惡意代碼發(fā)展1986年第一個(gè)PC病毒：Brain virus1988年Morris Internet worm6000多臺(tái)1990年第一個(gè)多態(tài)病毒1991年virus construction set-病毒生產(chǎn)機(jī)1991年 DIR2病毒1994年Good Times(joys)1995年首次發(fā)現(xiàn)macro virus6羅伯特.莫里斯惡意代碼發(fā)展1996年netcat的UNIX版發(fā)布（nc）1998年第一個(gè)Java vir

3、us(StrangeBrew)1998年netcat的Windows版發(fā)布（nc）1998年back orifice(BO)/CIH1999年melissa/worm(macrovirus by email)1999年back orifice(BO) for WIN2k1999年DOS/DDOS-Denial of Service TFT/ trin001999年knark內(nèi)核級(jí)rootkit(linux)7惡意代碼發(fā)展2000年love Bug(VBScript)2001年Code Red worm(overflow for IIS)2001年Nimda-worm(IIS/ web brow

4、ser/outlook/file share etc.)2002年SQL slammer(sqlserver)2003年MSBlaster/ Nachi2003年中文上網(wǎng)2004年MyDoom/ Sasser2006年熊貓燒香8惡意代碼發(fā)展2010年Stuxnet(工業(yè)蠕蟲)2012年火焰病毒9各種蠕蟲、木馬悄悄的潛伏在計(jì)算機(jī)中，竊取信息惡意代碼的發(fā)展趨勢從傳播速度上來看，惡意代碼爆發(fā)和傳播速度越來越快從攻擊意圖來看，惡意代碼的開發(fā)者越來越專業(yè)化，其意圖也從游戲、炫耀專向?yàn)閻阂饽怖麖墓δ苌蟻砜矗瑦阂獯a的分工越來越細(xì)從實(shí)現(xiàn)技術(shù)來看，惡意代碼實(shí)現(xiàn)的關(guān)鍵技術(shù)不斷變化從傳播范圍來看，惡意代碼呈現(xiàn)多平

5、臺(tái)傳播的特征10惡意代碼分類11照惡意代碼運(yùn)行平臺(tái)按照惡意代碼傳播方式按照惡意代碼的工作機(jī)制按照惡意代碼危害分類蠕蟲病毒后門木馬有害工具流氓軟件風(fēng)險(xiǎn)程序其他惡意代碼分類12不傳染的依附型惡意代碼流氓軟件、邏輯炸彈、惡意腳本不傳染的獨(dú)立型惡意代碼木馬、rootkit、風(fēng)險(xiǎn)程序傳染的依附型惡意代碼傳統(tǒng)的病毒（CIH等）傳染的獨(dú)立型惡意代碼蠕蟲病毒可以不依附于所謂的數(shù)組而獨(dú)立存在。蠕蟲一定經(jīng)過網(wǎng)絡(luò)傳播。傳染的獨(dú)立型惡意代碼是信息系統(tǒng)目前最大的威脅！惡意代碼的傳播方式13移動(dòng)存儲(chǔ)文件傳播軟件捆綁網(wǎng)絡(luò)傳播網(wǎng)頁電子郵件即時(shí)通訊共享主動(dòng)放置AutoRunOPEN=Autorun.exeICON=icon.i

6、co惡意代碼傳播方式-移動(dòng)存儲(chǔ)14自動(dòng)播放功能Windows默認(rèn)自動(dòng)執(zhí)行autorun.inf指定的文件設(shè)置組策略編輯器惡意代碼傳播方式-軟件捆綁強(qiáng)制安裝在安裝其他軟件時(shí)被強(qiáng)制安裝上默認(rèn)安裝在安裝其他軟件是被默認(rèn)安裝上15惡意代碼傳播方式-網(wǎng)頁16將木馬偽裝為頁面元素利用腳本運(yùn)行的漏洞偽裝為缺失的組件通過腳本運(yùn)行調(diào)用某些com組件在渲染頁面內(nèi)容的過程中利用格式溢出釋放或下載木馬惡意代碼傳播方式-郵件17社會(huì)工程學(xué)欺騙性標(biāo)題吸引人的標(biāo)題I love you病毒庫娃等利用系統(tǒng)及郵件客戶端漏洞尼姆達(dá)（畸形郵件MIME頭漏洞）惡意代碼傳播方式-通訊與數(shù)據(jù)傳播即時(shí)通訊偽裝即時(shí)通訊中的用戶向其聯(lián)系人發(fā)送消

7、息。使用欺騙性或誘惑性的字眼P2P下載偽造有效資源進(jìn)行傳播18惡意代碼傳播方式-共享共享19管理共享C盤、D盤Windows安裝目錄用戶共享用戶設(shè)置的共享典型病毒LovegateSpybotSdbot惡意代碼傳播方式-主動(dòng)放置獲得上傳文件權(quán)限，上傳木馬程序Web方式計(jì)劃任務(wù)注冊(cè)表攻擊者被攻擊者20惡意代碼傳播方式-漏洞利用各種系統(tǒng)漏洞緩沖區(qū)溢出：沖擊波、振蕩波利用服務(wù)漏洞IIS的unicode解碼漏洞：紅色代碼21知識(shí)域：惡意代碼知識(shí)子域：惡意代碼的實(shí)現(xiàn)技術(shù)理解惡意代碼修改配置文件、修改注冊(cè)表、設(shè)置系統(tǒng)服務(wù)等加載方式理解惡意代碼進(jìn)程、網(wǎng)絡(luò)及系統(tǒng)隱藏技術(shù)理解惡意代碼進(jìn)程保護(hù)和檢測對(duì)抗自我保護(hù)技術(shù)

8、22惡意代碼加載方式隨系統(tǒng)啟動(dòng)而加載開始菜單中的啟動(dòng)項(xiàng)啟動(dòng)配置文件注冊(cè)表啟動(dòng)項(xiàng)系統(tǒng)服務(wù)組策略隨文件執(zhí)行加載感染/文件捆綁瀏覽器插件修改文件關(guān)聯(lián)其他23隨系統(tǒng)啟動(dòng)加載方式-啟動(dòng)配置開始菜單啟動(dòng)項(xiàng)啟動(dòng)配置文件Autorun.batWin.iniSystem.ini已經(jīng)很少有病毒采用過于明顯用戶登錄后才能啟動(dòng)24隨系統(tǒng)啟動(dòng)加載方式-注冊(cè)表注冊(cè)表啟動(dòng)項(xiàng)：HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsloadHKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersi

9、onWinlogonUserinitHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceExHKCUSOFTWAREMicrosoftWindowsCurrentVersionRunHKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOnce25優(yōu)勢隱蔽性強(qiáng)方式多樣加載位置Load鍵值Userinit鍵值RunRunServicesOnceRunServicesRunOnce隨系統(tǒng)啟動(dòng)加載方式-服務(wù)26優(yōu)勢隱蔽性強(qiáng)無需用戶登錄權(quán)限較高加載方式單獨(dú)服務(wù)替換系統(tǒng)服務(wù)程序隨系統(tǒng)啟動(dòng)加載方式-組策略優(yōu)勢類似啟動(dòng)項(xiàng)，但隱

10、蔽性更高不足需要用戶登錄27隨文件執(zhí)行加載方式-感染/文件合并傳統(tǒng)病毒宏病毒程序合并28隨文件執(zhí)行加載方式-瀏覽器插件優(yōu)勢隱蔽性強(qiáng)清理困難29隨文件執(zhí)行加載方式-修改文件關(guān)聯(lián)30原理正常情況下文本文件（.txt）關(guān)聯(lián)到記事本notepad.exe打開病毒修改文本文件（.txt）關(guān)聯(lián)到病毒文件打開優(yōu)勢隱蔽性強(qiáng)，可關(guān)聯(lián)任意類型文件，甚至可以關(guān)聯(lián)目錄操作惡意代碼隱藏技術(shù)進(jìn)程隱藏進(jìn)程迷惑DLL注入網(wǎng)絡(luò)隱藏端口復(fù)用無端口反向端口系統(tǒng)隱藏隱藏、系統(tǒng)文件流文件隱藏Hook技術(shù)31惡意代碼進(jìn)程隱藏技術(shù)-進(jìn)程迷惑隨機(jī)進(jìn)程名每次啟動(dòng)生成不一樣的進(jìn)程名，退出后無法查找系統(tǒng)進(jìn)程類命名Windows.exeSystem

11、1.exeKernel.exe相似進(jìn)程名同名不同路徑的進(jìn)程 c:windowssystem32iexplore.exe(trojan) c:Program FilesInternet Exploreriexplore.exe(right)名稱相近的程序 svchost.exe(right) svch0st.exe(trojan)32惡意代碼進(jìn)程隱藏技術(shù)-DLL注入動(dòng)態(tài)鏈接庫文件 （DLL）概念什么是DLL注入DLL注入技術(shù)是惡意代碼將DLL文件放進(jìn)某個(gè)進(jìn)程的地址空間里，讓它成為那個(gè)進(jìn)程的一部分DLL注入的優(yōu)勢無進(jìn)程隱蔽性強(qiáng)清除難度大33惡意代碼網(wǎng)絡(luò)隱藏技術(shù)-端口復(fù)用/無端口端口復(fù)用技術(shù)重復(fù)利用

12、系統(tǒng)網(wǎng)絡(luò)打開的端口（如25、80、135和139等常用端口）傳送數(shù)據(jù)，這樣既可以欺騙防火墻，又可以少開新端口端口復(fù)用是在保證端口默認(rèn)服務(wù)正常工作的條件下用，具有很強(qiáng)的欺騙性無端口使用無端口的協(xié)議34icmphttp服務(wù)器客戶機(jī)80應(yīng)用服務(wù)惡意代碼網(wǎng)絡(luò)隱藏技術(shù)-反彈端口端口反向連接技術(shù)，系指惡意代碼攻擊的服務(wù)端（被控制端）主動(dòng)連接客戶端（控制端）。35連接請(qǐng)求80連接請(qǐng)求攻擊者受害者受害者攻擊者惡意代碼隱藏技術(shù)-系統(tǒng)隱藏默認(rèn)情況下，windows不顯示隱藏文件和系統(tǒng)文件，惡意代碼將自身屬性設(shè)置為隱藏和系統(tǒng)文件以實(shí)現(xiàn)隱藏36惡意代碼系統(tǒng)隱藏技術(shù)-流文件37ADS(Alternate Data St

13、reams)交換數(shù)據(jù)流NTFS 文件系統(tǒng)下，每個(gè)文件都可以有多個(gè)數(shù)據(jù)流一個(gè)文件以流的形式附加到另一個(gè)文件（載體）中，流文件對(duì)explorer.exe等文件管理軟件不可見，病毒可以利用此方式進(jìn)行隱藏37惡意代碼系統(tǒng)隱藏技術(shù)-hook技術(shù)Hook（系統(tǒng)鉤子）鉤子機(jī)制允許應(yīng)用程序截獲處理window消息或特定事件。在目標(biāo)窗口處理消息前處理它38設(shè)置系統(tǒng)鉤子，勾取對(duì)文件及目錄操作獲得文件列表存放內(nèi)存地址獲取文件列表結(jié)果將病毒文件自身從列表結(jié)構(gòu)中刪除惡意代碼自我保護(hù)進(jìn)程保護(hù)進(jìn)程守護(hù)超級(jí)權(quán)限檢測對(duì)抗反動(dòng)態(tài)調(diào)試反靜態(tài)調(diào)試39惡意代碼進(jìn)程保護(hù)-進(jìn)程守護(hù)主程序被停止，重新啟動(dòng)主程序重新啟動(dòng)主進(jìn)程40惡意代碼主程

14、序?qū)崿F(xiàn)惡意代碼主功能守護(hù)程序監(jiān)視并保護(hù)主進(jìn)程正常運(yùn)行阻止主程序的退出重啟主程序從備份中還原主程序從網(wǎng)絡(luò)中重新下載主程序從備份中還原惡意代碼進(jìn)程保護(hù)-超級(jí)權(quán)限什么是超級(jí)權(quán)限技術(shù)惡意代碼通過將自身注冊(cè)成為設(shè)備驅(qū)動(dòng)，從而獲得較高權(quán)限，阻止反病毒軟件對(duì)它的查殺并干擾反惡意代碼軟件的正常運(yùn)行超級(jí)權(quán)限技術(shù)特點(diǎn)非常高的權(quán)限安全模式下可工作無法直接查殺41惡意代碼檢測對(duì)抗技術(shù)-反跟蹤為什么需要反跟蹤反跟蹤技術(shù)可以提高自身的偽裝能力和防破譯能力，增加檢測與清除惡意代碼的難度。常用的反跟蹤技術(shù)有兩類反動(dòng)態(tài)跟蹤技術(shù)反靜態(tài)分析技術(shù)。 42惡意代碼反調(diào)試技術(shù)-反動(dòng)態(tài)調(diào)試通過禁止跟蹤中斷、封鎖鍵盤輸入和屏幕顯示等方法，防

15、止調(diào)試工具分析惡意代碼主要包括：禁止跟蹤中斷封鎖鍵盤輸入和屏幕顯示檢查運(yùn)行環(huán)境，破壞調(diào)試工具運(yùn)行43惡意代碼反調(diào)試技術(shù)-反靜態(tài)調(diào)試通過加殼、加密、變形以及代碼混淆等技術(shù)，加大惡意代碼自身的復(fù)雜性，增加調(diào)試分析的難度主要方法加殼：對(duì)惡意代碼的可執(zhí)行二進(jìn)制程序進(jìn)行壓縮，使其執(zhí)行流程發(fā)生變化加密：隨著加密密鑰的變化，惡意代碼會(huì)產(chǎn)生不同的表現(xiàn)形式，進(jìn)一步提高了其抗靜態(tài)分析的能力代碼混淆：通過插入偽指令、混淆程序數(shù)據(jù)和控制流等方法，防止靜態(tài)分析和檢測44知識(shí)域：惡意代碼知識(shí)子域：惡意代碼的防御技術(shù)理解惡意代碼預(yù)防方法：減少漏洞、減輕威脅等理解惡意代碼特征碼掃描、行為檢測等檢測方法理解惡意代碼靜態(tài)與動(dòng)態(tài)分

16、析方法理解不同類型惡意代碼的清除方法45惡意代碼的預(yù)防技術(shù)增強(qiáng)安全策略與意識(shí)減少漏洞補(bǔ)丁管理主機(jī)加固減輕威脅防病毒軟件間諜軟件檢測和刪除工具入侵檢測/入侵防御系統(tǒng)防火墻路由器、應(yīng)用安全設(shè)置等46惡意代碼檢測技術(shù)特征碼掃描校驗(yàn)和行為監(jiān)測47特征碼掃描工作機(jī)制：特征匹配病毒庫（惡意代碼特征庫）掃描（特征匹配過程）優(yōu)勢準(zhǔn)確(誤報(bào)率低)易于管理不足效率問題（特征庫不斷龐大、依賴廠商）滯后（先有病毒后有特征庫，需要更新特征庫）48應(yīng)用最廣泛的惡意代碼檢測技術(shù)惡意代碼檢測技術(shù)-沙箱技術(shù)49工作機(jī)制將惡意代碼放入虛擬機(jī)中執(zhí)行，其執(zhí)行的所有操作都被虛擬化重定向，不改變實(shí)際操作系統(tǒng)優(yōu)勢優(yōu)點(diǎn)能較好的解決變形代碼的

17、檢測惡意代碼檢測技術(shù)-行為檢測工作機(jī)制：基于統(tǒng)計(jì)數(shù)據(jù)惡意代碼行為有哪些行為符合度優(yōu)勢能檢測到未知病毒不足誤報(bào)率高難點(diǎn)：病毒不可判定原則50惡意代碼分析技術(shù)靜態(tài)分析需要實(shí)際執(zhí)行惡意代碼，它通過對(duì)其二進(jìn)制文件的分析，獲得惡意代碼的基本結(jié)構(gòu)和特征，了解其工作方式和機(jī)制動(dòng)態(tài)分析在虛擬運(yùn)行環(huán)境中，使用測試及監(jiān)控軟件，檢測惡意代碼行為，分析其執(zhí)行流程及處理數(shù)據(jù)的狀態(tài)，從而判斷惡意代碼的性質(zhì)，并掌握其行為特點(diǎn)。51靜態(tài)分析-常規(guī)分析文件名分析：程序形態(tài)特性： 文件位置特性： 文件版本特性：文件長度特性： 文件時(shí)間特性： 數(shù)字簽名： 52靜態(tài)分析-代碼分析格式分析：PE信息：API查看：字符串信息：資源信息：

18、 53樣本文件格式：PE文件，腳本文件等。PE信息分析(是否加殼、加殼類型等)API調(diào)用附加數(shù)據(jù)分析（字符串、資源）靜態(tài)分析的特點(diǎn)優(yōu)點(diǎn)不需要運(yùn)行惡意代碼，不會(huì)影響運(yùn)行環(huán)境的安全可以分析惡意代碼的所有執(zhí)行路徑不足隨著復(fù)雜度的提高，執(zhí)行路徑數(shù)量龐大，冗余路徑增多，分析效率較低54惡意代碼動(dòng)態(tài)分析-程序功能中國安天實(shí)驗(yàn)室55API使用文件讀寫新增？刪除？改動(dòng)？注冊(cè)表讀寫新增？刪除？改動(dòng)？內(nèi)核調(diào)用惡意代碼動(dòng)態(tài)分析-行為分析行為分析本地行為網(wǎng)絡(luò)行為傳播方式運(yùn)行位置感染方式其它結(jié)果等中國安天實(shí)驗(yàn)室56為惡意代碼查殺防御提供支撐！動(dòng)態(tài)分析的特點(diǎn)優(yōu)點(diǎn)針對(duì)性強(qiáng)具有較高的準(zhǔn)確性不足由于分析過程中覆蓋的執(zhí)行路徑有限，分析的完整性難以保證57惡意代碼清除技術(shù)感染引導(dǎo)區(qū)型修復(fù)/重建引導(dǎo)區(qū)文件感染型附著型：病毒行為逆向還原替換型：備份還原獨(dú)立型獨(dú)立可執(zhí)行程序：終止進(jìn)程、刪除獨(dú)立依附型：內(nèi)存退出、刪除嵌入型更新軟件或系統(tǒng)重置系統(tǒng)